对于那些允许用户指定 OpenID 提供者 (OP) 的依赖方 (RP),在我看来,比任何知道或猜测您的 OpenID 的人都可以
- 输入他们自己的 OP 地址。
- 让它验证他们拥有你的 OpenID。
- 在 RP 上访问您的帐户。
RP“可以”通过仅允许原始 OP 验证 OpenID 来采取措施防止这种情况发生,但是......
- 你怎么知道他们做的?
- 如果不更改 OpenID,就永远无法更改 OP。
AskOverflow.Dev
